STRATEGIE24. Februar 2017

PSD2 und die Zukunft der Kundenauthentifizierung: Wissen, Besitz und Inhärenz

Mirko Huellemann, Geschäftsführer Heidelberger PaymentHeidelberger Payment

Die erste Zahlungsdienste-Richtlinie der EU stammte aus dem Jahr 2007: die PSD 2007/64/EC. Ein wichtiger Grund für die zweite, grundlegend überarbeitete Payment Services Directive war es, dass die EU mit der Richtlinie nun auch die on­line­basierten Zahlungsdienste abdecken wollte. Die neue PSD2, die Richtlinie (EU) 2015/2366, hat die Europäische Kommission im Oktober 2015 be­schlos­sen. Sie soll im Januar 2018 in Kraft treten. Bis dahin müssen die Mitgliedsstaaten die ver­bind­lichen Anforderungen der PSD2 in nationales Recht umsetzen.

von Mirko Hüllemann
Geschäftsführer Heidelberger Payment

Auch wenn die EBA die regulatorisch-technischen Spezifikationen (RTS) vor wenigen Tagen als Final Draft vorgelegt hat ‑ sie scheint noch viel Freiraum bei der Umsetzung zu lassen. Trotzdem hat die Zahlungsdiensterichtlinie in ihrer zweiten Auflage doch unabweisbare Konsequenzen für den Bereich der Kundenauthentifizierung bei Zahlungen im On­line-Handel. Im Idealfall steigen für den Endkunden der Komfort und die Sicherheit, während sich An­bie­tern und Dienstleistern die Chance eröffnet, sich durch neue Services Wettbewerbsvorteile zu verschaffen.

Vier konkrete Ziele von PSD2

Das generelle Ziel von PSD2 ist es, elektronische Zahlungen in Europa für die Verbraucher sicherer und bequemer zu machen. Aus Sicht der EU-Kommission bedeutet die Direktive auch einen Schritt hin zu einem digitalen Binnenmarkt, der Verbrauchern und Unternehmen zugutekommen und zum Wirtschaftswachstum beitragen soll.

Die EU-Kommission hebt vier Änderungen hervor, die sich durch PSD2 ergeben:
1. Es wird strengere Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher geben.
2. Der EU-Zahlungsverkehrsmarkt wird für sogenannte Zahlungsauslösedienstleister und Kontoinformationsdienstleister geöffnet.
3. Die Verbraucherrechte werden in verschiedenen Bereichen gestärkt, etwa durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro.
4. Die Berechnung von Aufschlägen (etwa für das Recht, mit einer Karte zu zahlen) wird untersagt – unabhängig davon, ob Verbraucher das jeweilige Zahlungsinstrument in einem Geschäft oder online nutzen.

Drittanbieter und die Bankenwelt

Einer der interessantesten Aspekte der neuen Richtlinie ist aus Sicht eines Payment Service Providers (PSP) die Öffnung der bislang für Drittanbieter verschlossenen Bankenwelt.

Aber nicht nur die Zahlungsdienstleiter profitieren von solch einer Öffnung, auch die Banken selbst können sich mit neuen, komfortablen Services für ihre Kunden neu positionieren.”

Gemäß Artikel 98 PSD2 obliegt es der Europäischen Bankenaufsichtsbehörde (EBA) in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB), sogenannte Technische Regulierungsstandards für die Authentifizierung und die Kommunikation zu definieren. Die EBA hat diese Regulatory Technical Standards (RTS) am 23. Februar 2017 in einem Final Draft vorgelegt, damit die EU-Kommission die RTS als verbindlich erlassen kann.

Technische Regulierungsstandards der EBA

Wie die Kommunikationsschnittstelle im Detail beschaffen sein soll, regelt auch der Final Draft der RTS der EBA zwar nicht – denn die Richtlinie selbst verlangt technische Neutralität gegenüber möglichen Internet-Kommunikationsstandards. Einige formale Anforderungen sind dennoch beschrieben, etwa der Einsatz einer geeigneten Verschlüsselung beim Datenaustausch, möglichst kurze Kommunikationsvorgänge und eindeutige Referenzen für die ausgetauschten Daten. Auch den Dritten Zahlungsdienstleistern, die nun erstmals auf Konto- bzw. Kundendaten der Bank zugreifen dürfen, obliegen dabei besondere Pflichten. So müssen sie die Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, etwa indem sie sie ausschließlich in einer sicheren Umgebung gemäß ISO 27001 Standard für Informationsmanagement-Sicherheitssysteme verarbeiten.

Mehr Komfort und neue Services

Für Zahlungsdienstleister eröffnet diese begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, Verbrauchern bei Kundenauthentifizierungsvorgängen im Online-Handel andere Services bieten zu können als bisher.

Ein mögliches Beispiel: Wenn sich der Kunde im Online-Bezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant-Payment-Optionen möglich.”

Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle Beteiligten: der Online-Händler, sein Kunde, das Zahlungsinstitut und die Bank. Denn eine Bank, die gute, sichere Schnittstellen für Dritte Zahlungsdienstleister schafft – etwa in Gestalt einer Anwendungsprogrammierschnittstelle (API) –, positioniert sich damit näher am Bedarf des Kunden. Sie schafft die Voraussetzungen dafür, dass für ihren Kunden die Zahlung im Internet einfacher und komfortabler wird.

Neue Authentifizierungsverfahren: sicher und komfortabel

Der andere hochinteressante Aspekt der PSD2 sind ihre Auswirkungen auf die Kundenauthentifizierung. Bei gewissen Zahlungsverfahren werden durch die überarbeitete Direktive neue Kundenauthentifizierungsmethoden notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein. In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:

1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort).
2. Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte).
3. Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck).

Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.

Umständliches 3D Secure

Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI), die sie im November 2015 veröffentlichte, einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei VISA oder der SecureCode bei MasterCard – sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen.

Verfahren wie das bisherige 3D Secure haben allerdings einen gravierenden Nachteil: für den Kunden sind sie vergleichsweise umständlich anzuwenden. Entsprechend ungern bieten Online-Händler sie an.”

Denn fast immer ziehen diese Verfahren deutlich niedrigere Konversionsraten nach sich – die Gefahr von Abbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist allerdings schon jetzt, dass er dann selbst das komplette finanzielle Risiko etwaiger Chargebacks trägt. In Zukunft wird in Europa durch die PSD2 eine Online-Kartenzahlung ohne starke Authentifizierung ganz unmöglich werden.

Autor Mirko Hüllemann
Mirko Hüllemann (Jahrgang 1969) ist Mitgründer und Geschäftsführer der Heidelberger Payment GmbH, kurz: heidelpay (www.heidelpay.de), ein von der BaFin zugelassenes und beaufsichtigtes Zahlungsinstitut für Online-Paymentverfahren. heidelpay deckt das komplette Leistungsspektrum in Sachen elektronische Zahlungsabwicklung ab: Von der Zahlartenanbindung über die Transaktionsverarbeitung bis hin zu Monitoring und Risikomanagement. Vor der Gründung von heidelpay im Jahr 2003 war Mirko Hüllemann u.a. für verschiedene Anbieter von Online-Zahlungsdiensten tätig: als Vertriebsleiter für die paybox.net AG und als Geschäftsführer für die United Payment GmbH. Seine berufliche Karriere startete der Dipl.-Volkswirt 1999, nach Abschluss seines Studiums an der Universität Heidelberg, als SAP-Berater bei der cbs Corporate Business Solutions Unternehmensberatung.

Selbst die starke Authentifizierung wird komfortabel

Insgesamt sollte durch PSD2 und die zwingend vorgeschriebene starke Kundenauthentifizierung das Sicherheitsniveau steigen. Der Betrug mit gestohlenen Daten wird in Zukunft schwieriger, wenn neue Verfahren sich der Kategorien Wissen, Besitz und Inhärenz bedienen, um eine starke Zwei-Faktoren-Authentifizierung zu realisieren. Vorstellbar sind etwa schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung einfach per Smartphone des Kunden. Den Kombinationsmöglichkeiten setzt die PSD2 keine Grenzen. Es ist ebenso die Hoffnung der Zahlungsdienstleister wie der Händler, dass sich durch neue Verfahren die Zahl der Betrugsversuche und anschließender Rückbuchungen minimieren wird. Und aus Kundensicht sollte durch die neuen Verfahren der Komfort gegenüber tendenziell umständlichen Verfahren wie 3D Secure deutlich steigen.

Wer setzt PSD2 um?

Bleibt die Frage, wer die Umsetzung von PSD2 vorantreiben wird und in wessen Verantwortung sie letztlich liegt. Sicherlich sind durch die Direktive die Banken aufgerufen, entsprechend sichere und verfügbare Kommunikationsschnittstellen zu schaffen, aber auch viele Dritte Zahlungsanbieter werden in ihre Infrastruktur zu investieren haben, um auch auf ihrer Seite das geforderte Sicherheitsniveau zu realisieren. Der Final Draft der RTS sieht darum vor, dass zur Schnittstelle eine Testfunktion anzubieten ist, damit Drittanbieter das Zusammenspiel mit ihren eigenen Applikationen erproben können. Nur schweigen sich die regulatorisch-technischen Spezifikationen der EBA zu den Details der technischen Ausgestaltung weitgehend aus. Und selbst wenn die EU-Kommission den RTS-Draft noch im Frühjahr 2017 annehmen sollte, wird er der PSD2-Richtlinie entsprechend erst 18 Monate später anwendbar. Da der RTS zur PSD2 allerdings als sogenannte Verordnung der EU erlassen werden soll, wäre er in sämtlichen Mitgliedsstaaten dann unmittelbar anzuwenden, ohne eine weitere nationale Umsetzung.

Fazit

Nicht nur aus Sicht der Zahlungsdienstleister eröffnet PSD2 neue Chancen. Das Versprechen der neuen europäischen Richtlinie ist eine starke Kundenauthentifizierung, die die Sicherheit vor Betrug erhöht und E-Commerce-Transaktionen vereinfacht. Marktteilnehmer werden neue Verfahren der starken Authentifizierung dazu nutzen können, dem Endkunden Zahlungsoptionen beim Onlinekauf zu bieten, die ebenso sicher wie komfortabel sind. Allen Beteiligten können dadurch Wettbewerbsvorteile entstehen. Es ist also an der Zeit, sich mit PSD2 auseinanderzusetzen, sich den neuen Anforderungen anzupassen und die Chancen zu nutzen, die sich jetzt eröffnen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert